Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ

Các hệ thống thông tin của tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán sẽ được phân loại theo 5 cấp độ, thay vì 3 cấp độ như quy định hiện hành.

Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ
Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ. Ảnh: Dân sinh

Ngân hàng Nhà nước (NHNN) Việt Nam đang lấy ý kiến vào dự thảo Thông tư quy định các giới hạn, tỷ lệ bảo đảm an toàn trong hoạt động của tổ chức tín dụng phi ngân hàng với nhiều bổ sung mới về đối tượng và phân cấp hệ thống thông tin 5 cấp độ.

Dự thảo thông tư được xây dựng nhằm cập nhật đầy đủ quy định của Luật An toàn thông tin mạng và các văn bản hướng dẫn, đồng thời phù hợp với thực tế tình hình an toàn thông tin mạng trong ngành so với Thông tư 18 (ban hành năm 2018).

Theo NHNN Việt Nam, trong năm 2019 và nửa đầu năm 2020, các cuộc tấn công mạng nhằm vào hệ thống ngân hàng gia tăng cả về quy mô và mức độ dai dẳng lẫn thủ đoạn tinh vi. Cuối 2019, ngành ngân hàng đã xảy ra vụ việc liên quan đến công tác đảm bảo an toàn thông tin như lộ lọt thông tin khách hàng, phát hiện mã độc tấn công xâm nhập vào hệ thống thông tin. Ngoài ra, Cục CNTT (NHNN) cũng ghi nhận vướng mắc và các đề xuất trong quá trình triển khai thực hiện Thông tư 18.

Dự thảo Thông tư thay thế có thể giải quyết được vấn đề nảy sinh trong hoạt động CNTT tại các tổ chức, cụ thể với quy định về phân loại hệ thống thông tin theo 3 mức độ, do số lượng các hệ thống thông tin nhiều, tập trung vào mức độ 2 (hệ thống thông tin quan trọng) nên các tổ chức gặp nhiều khó khăn, vướng mắc trong đầu tư nguồn lực để quản lý an toàn các hệ thống thông tin.

Dự thảo thông tư bổ sung thêm đối tượng hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin. Theo đó, ngoài các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, dự thảo Thông tư bổ sung một số đối tượng áp dụng thuộc phạm vi quản lý, cấp phép của NHNN hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin. Cụ thể là công ty thông tin tín dụng (hiện có Công ty Cổ phần thông tin tín dụng Việt Nam – PCB), Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam (VAMC), Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam có thiết lập và sử dụng hệ thống thông tin phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.

Một nội dung được đưa vào dự thảo Thông tư mới so với quy định hiện hành là phân loại hệ thống thông tin theo 5 cấp độ.

Cụ thể, dự thảo thông tư quy định đối với các hệ thống cung cấp dịch vụ trực tuyến cho khách hàng phải tuân thủ phân loại hệ thống (theo quy định tại Nghị định 85/2016/NĐ-CP). Đối với các hệ thống khác, thực hiện phân loại theo 5 cấp độ trên cơ sở tham khảo quy định tại Nghị định 85 và phù hợp với đặc thù ngành ngân hàng. Đây sẽ là quy định thay thế phân loại 3 mức độ theo quy định tại Thông tư 18 đang có một số bất cập gây khó khăn cho các tổ chức khi triển khai.

 

Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành. Dự thảo nêu rõ, danh sách hệ thống thông tin theo cấp độ quan trọng phải được rà soát, cập nhật ngay sau khi hệ thống được triển khai và định kỳ hàng năm.

Trên cơ sở các hệ thống thông tin được phân loại theo cấp độ, các yêu cầu về an toàn bảo mật với từng hệ thống thông tin theo cấp độ có sự khác nhau, dẫn đến nguồn lực cần triển khai cũng khác nhau.

Dự thảo Thông tư cũng quy định áp dụng xác thực đa thành tố khi phê duyệt giao dịch tài chính phát sinh chuyển tiền điện tử sang đối tác bên ngoài có giá trị từ 100 triệu trở lên nhằm phòng ngừa rủi ro lộ lọt thông tin đăng nhập bằng mật khẩu của cán bộ nghiệp vụ.

Xác thực đa yếu tố là phương pháp xác thực yêu cầu tối thiểu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Các yếu tố xác thực bao gồm: những thông tin mà người dùng biết (số PIN, mã khoá bí mật,…); những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động …); những dấu hiệu sinh trắc học của người dùng.

Ngoài ra, đối với các hệ thống thông tin từ cấp độ 4 trở lên phải áp dụng xác thực đa thành tố đối với các tài khoản quản trị máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng. 

Duy Vũ

Phó Thủ tướng Vũ Đức Đam: Phải thúc đẩy thật nhanh thanh toán điện tử trên di động

Phó Thủ tướng Vũ Đức Đam: Phải thúc đẩy thật nhanh thanh toán điện tử trên di động

Trong phát biểu về thúc đẩy chính phủ điện tử gần đây, Phó Thủ tướng Vũ Đức Đam cho rằng, một điểm rất quan trọng là phải thúc đẩy nhanh thanh toán điện tử, phải mở thật nhanh để cho người dân có thể thanh toán trên di động.

 
List comment
 
Lừa đảo người bán hàng online bằng website chuyển tiền giả mạo
icon

 Bộ Công an vừa cảnh báo về thủ đoạn lừa đảo mới nhắm đến những người bán hàng online khi giao dịch qua mạng xã hội.

 
Việt Nam trong top 5 quốc gia bị khai thác máy tính để đào tiền ảo
icon

 Việt Nam đứng ở vị trí thứ 5 toàn cầu về lượng máy tính bị hacker tận dụng để khai thác tiền mã hoá.

 
Google xóa sổ ứng dụng tìm diệt phần mềm “Made in China”
icon

Remove China Apps - ứng dụng tuyên bố có khả năng gỡ bỏ các phần mềm sản xuất tại Trung Quốc – đã bị Google xóa khỏi Google Play Store.  

 
Tin tặc có thể “nảy” tín hiệu đi khắp nơi trên thế giới không?
icon

Hình ảnh tin tặc trên truyền hình hay trong một bộ phim điện ảnh hiếm khi phản ảnh đúng sự thật, khi được xây dựng hình ảnh với chiếc áo mũ trùm màu đen cặm cụi gõ trên một thiết bị màu đen trước khi khẽ thốt lên “Vào được rồi”.

 
Nhóm hacker khét tiếng Anonymous bị mạo danh để tấn công cảnh sát Mỹ
icon

Nhóm hacker khét tiếng Anonymous nhiều khả năng đã bị một tin tặc mạo danh khi tấn công vào trang web của sở cảnh sát thành phố Minneapolis (bang Minnesota, Mỹ).

 
 
Xuất hiện ứng dụng tìm diệt các app “Made in China” gây tranh cãi trên Google Play Store
icon

Mới ra mắt 2 tuần nhưng ứng dụng này đã có hơn 1 triệu lượt tải về và leo lên top 1 ứng dụng miễn phí trên Play Store Ấn Độ.

Bộ TT&TT chủ trì xây dựng phương án an toàn thông tin trong chia sẻ dữ liệu quốc gia
icon

Bộ TT&TT chủ trì, phối hợp với Văn phòng Chính phủ, Ban Cơ yếu Chính phủ và các cơ quan liên quan trong việc xây dựng phương án phát triển nền tảng tích hợp, chia sẻ dữ liệu quốc gia, bảo đảm ATTT, bảo mật dữ liệu.

Bộ TT&TT: Cần tạo hệ sinh thái để trẻ em an toàn trên Internet
icon

Theo Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, vấn đề quan trọng là cần tạo được sự kết nối giữa các bộ, ngành, tổ chức, doanh nghiệp và toàn xã hội để xây dựng một hệ sinh thái lành mạnh, an toàn cho trẻ em tương tác và hoạt động.

4 công cụ 'Make in Vietnam' miễn phí giúp giao dịch trực tuyến an toàn
icon

Kiểm tra địa chỉ IP, kiểm tra website phishing, phòng chống tấn công giả mạo email và kiểm tra lộ lọt thông tin tài khoản là 4 công cụ hữu ích đang được Trung tâm Giám sát an toàn không gian mạng quốc gia cung cấp miễn phí tại: khonggianmang.vn.

Cục An toàn thông tin khuyến cáo cơ quan nhà nước không nên dùng Zoom
icon

Theo khuyến cáo của Cục An toàn thông tin (Bộ TT&TT), các cơ quan, tổ chức hành chính nhà nước không nên sử dụng phần mềm Zoom để phục vụ các buổi họp trực tuyến tại đơn vị mình.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123